22:00よりサイトのメンテナンスを開始します×

エーデルハーツ

Custom WordPress Support & Development

WordPressはどう進化した? Ver 6.0~6.3に見るセキュリティ強化と重要アップデート

こんにちは!合同会社エーデルハーツの代表、矢部です。埼玉県川越市を拠点に、WordPressサイトの制作・カスタマイズ、そしてセキュリティ対策のサポートを行っています。

前回の記事「WordPress更新は必須!古いバージョンを使い続ける本当のリスクとは?【実例で学ぶ重要性】」では、WordPress本体(コア)のバージョンアップがいかに重要か、そして更新を怠ることがどのようなリスクを招くかについて解説しました。

今回はシリーズ第2回として、少し時間を遡り、WordPressバージョン6.0から6.3まで(概ね2022年中頃~2023年中頃にリリース)の期間に焦点を当て、WordPressがどのように進化し、特にセキュリティ面でどのような強化や修正が行われてきたのかを見ていきます。これにより、「なぜ細かくアップデートが提供され続けるのか」という理由を、より具体的にご理解いただけるはずです。

WordPress 6.0 (2022年5月リリース)

バージョン6.0は、ブロックエディタの機能拡張や新しいデザインツール、パフォーマンスの改善など、ユーザー体験の向上に重点が置かれたメジャーアップデートでした。

セキュリティ面では、この6.0系統のリリースサイクル中に公開されたマイナーアップデート(6.0.1, 6.0.2, 6.0.3など)で、以下のような複数の脆弱性に対する修正が行われました。

  • 格納型クロスサイトスクリプティング(Stored XSS)
  • SQLインジェクション
  • 公開投稿におけるメールアドレスの露出
  • メディアライブラリにおけるCSRF(クロスサイトリクエストフォージェリ)
  • その他、アクセス制御に関する問題など

メジャーバージョンで大きな機能追加が行われる一方で、セキュリティに関する重要な修正は、その後のマイナーバージョンで迅速に対応されることが多い、という典型的な例です。

WordPress 6.1 (2022年11月リリース)

6.1では、新しいデフォルトテーマ「Twenty Twenty-Three」が登場し、さらなるデザインツール(例:Fluid Typography)、パフォーマンス向上、アクセシビリティの改善などが盛り込まれました。

このバージョンに対応するマイナーアップデート「6.1.1」は、特にセキュリティ面で重要なリリースでした。この単一のアップデートで、以下を含む10件以上のセキュリティ問題が修正されました。

  • 複数の格納型XSS
  • コメント機能におけるSQLインジェクションの可能性
  • REST APIにおけるデータ露出
  • wp-cron.php を利用したサーバーサイドリクエストフォージェリ(SSRF)の可能性
  • その他、複数のXSSや権限昇格に関連する可能性のある問題

一度にこれだけの数の脆弱性が修正されることもあり、マイナーアップデートだからといって軽視できないことが分かります。

WordPress 6.2 (2023年3月リリース)

6.2では、サイトエディターがベータ版から正式版になり、より直感的なサイト全体の編集体験が提供されました。また、集中執筆モードやOpenverse(フリー素材の画像・音声ライブラリ)との連携強化なども行われました。

セキュリティ関連では、このバージョンから wp_is_development_mode() という関数が導入されました。これにより、開発環境(WP_DEVELOPMENT_MODE 定数が定義されている環境)かどうかを判別しやすくなり、開発時のみデバッグ情報を表示するなど、本番環境での意図しない情報露出を防ぐのに役立ちます。

もちろん、6.2系統のマイナーアップデート(6.2.1, 6.2.2など)でも、以下のような脆弱性が修正されています。

  • テーマやプラグインの処理に関連するディレクトリトラバーサルの可能性
  • ショートコード処理におけるXSS
  • oEmbed機能におけるCSRF
  • その他、複数のXSSやサニタイズ(無害化処理)の不備など

WordPress 6.3 (2023年8月リリース)

6.3は、パフォーマンスの大幅な改善に加え、コマンドパレット(管理画面での操作を効率化)の導入、サイトエディターでのリビジョン(変更履歴)機能、スタイルブックなどの機能強化が特徴でした。

セキュリティと安定性に関連する非常に重要な機能として、「プラグイン・テーマの自動更新失敗時のロールバック機能」が導入されました。これは、自動更新プロセス中にエラーが発生した場合、更新前の状態に自動的に復元を試みる機能です。これにより、更新によるサイトダウンのリスクが低減され、ユーザーはより安心して自動更新(特にセキュリティリリース)を利用できるようになりました。

また、このバージョンではPHP 8以上への互換性向上も進められました。古いPHPバージョンの利用はそれ自体がセキュリティリスクとなるため、最新のPHP環境に対応していくこともWordPressの重要なセキュリティ要素です。

6.3系統のマイナーアップデート(6.3.1, 6.3.2など)でも、もちろんセキュリティ修正は行われています。

  • 複数のXSS脆弱性
  • ユーザーメタデータに関するアクセス制御の問題
  • その他、キャッシュ処理やパス検証に関する問題など

まとめ:WordPressのセキュリティは継続的に進化している

WordPress 6.0から6.3までの約1年強の間だけでも、WordPress本体では多くのセキュリティ修正が行われ、また、更新作業自体の安全性を高める機能(ロールバック)も導入されてきました。

注目すべきは、新機能が追加されるメジャーアップデートだけでなく、その後のマイナーアップデートで多くの重要なセキュリティ修正が行われている点です。これは、WordPressの開発チームが継続的に脆弱性の発見と修正に取り組んでいる証拠であり、私たちがマイナーアップデートも含めて、常に最新の状態を保つべき理由を明確に示しています。

Share / Subscribe
Facebook Likes
Posts
Hatena Bookmarks
Pinterest
Pocket
Evernote
Feedly
Send to LINE